ISO27001-2022信息安全管理體系管理手冊(cè)

IS027001-2022信息安全管理體系管理手冊(cè)

本手冊(cè)相關(guān)修改及解釋權(quán)屬于信息安全組織文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期2023/01/01文檔起草人簽字：口期：文檔修訂人：簽字：日期：修訂說明：業(yè)務(wù)范圍部門名稱修改備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：H期：文檔審批人簽字：日期：概述1.1目的2適用范圍1.3頒布令1.4授權(quán)書依據(jù)文件和術(shù)語2.1依據(jù)文件2.2術(shù)語定義裁剪說明組織環(huán)境4.1理解組織及環(huán)境4.2信息安全相關(guān)方的需求和期望4.3信息安全管理體系范圍的確定4.4信息安全管理體系領(lǐng)導(dǎo)力1領(lǐng)導(dǎo)力和承諾5.2信息安全方針5.3組織角色、職責(zé)和權(quán)限6.策劃1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施6.2信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃3變更計(jì)劃支持7.1資源提供7.2信息安全能力管理7.3意識(shí)培訓(xùn)7.4信息安全溝通管理5文件化信息運(yùn)行1體系策劃與運(yùn)行8.2信息安全風(fēng)險(xiǎn)評(píng)估8.3信息安全風(fēng)險(xiǎn)處置績效評(píng)價(jià)1監(jiān)視、測(cè)量、分析和評(píng)價(jià)9?2內(nèi)部審核9.2.1總則9.2.2內(nèi)部審核項(xiàng)冃9.3管理評(píng)審9.3.1總則9.3.2管理評(píng)審輸入3.3管理評(píng)審結(jié)果10改進(jìn)1持續(xù)改進(jìn)10.2不符合及糾正措施A.信息安全控制措施A.5、組織控制A.6、人員控制A.7、物理控制A.8、技術(shù)控制附件一：信息安全組織架構(gòu)映射表附件二：信息安全職責(zé)分配表附件三：信息安全目標(biāo)1?概述為提高服務(wù)質(zhì)量，規(guī)范管理活動(dòng)，保障系統(tǒng)安全運(yùn)行，提升人員安全意識(shí)水平，XXX軟件有限公司(以下簡稱“公司”)依據(jù)信息安全管理標(biāo)準(zhǔn)《ISO/IEC27001:2022信息安全管理體系要求》的相關(guān)要求，結(jié)合自身業(yè)務(wù)系統(tǒng)實(shí)際運(yùn)行安全需求，己建立實(shí)施了一套科學(xué)有效的信息安全管理體系，并通過體系的有效運(yùn)行，實(shí)現(xiàn)持續(xù)改進(jìn)，達(dá)到動(dòng)態(tài)系統(tǒng)、全員參與、制度化的、以預(yù)防為主的信息安全管理方式。1.1目的本總綱為公司信息安全管理體系的綱領(lǐng)性文件，描述了信息安全管理體系的方針、目標(biāo)、管理機(jī)制和要求等方面的內(nèi)容。通過建立策劃(P)T執(zhí)行(D)T檢查(C)T改進(jìn)(A)的持續(xù)改進(jìn)機(jī)制，不斷提高公司的信息安全管理水平，確保日常信息安全管理活動(dòng)的安全、穩(wěn)定、高效，提升企業(yè)核心競(jìng)爭力。1?2適用范圍本總綱所描述信息安全管理體系適用于公司所有部門，所涉及業(yè)務(wù)范圍包括信息技術(shù)處理設(shè)施的管理運(yùn)維服務(wù)、信息技術(shù)系統(tǒng)的開發(fā)、獲取和運(yùn)行維護(hù)、人員的信息安全、數(shù)據(jù)的安全等在內(nèi)的各項(xiàng)信息安全管理相關(guān)活動(dòng)。1.3頒布令為提高信息安全管理水平，貫徹落實(shí)“以客戶為中心，將安全意識(shí)融入日常工作、嚴(yán)格審查各項(xiàng)控制措施、及時(shí)消除安全隱患、保障業(yè)務(wù)連續(xù)性?！钡幕痉结?，保障公司的生產(chǎn)、經(jīng)營、服務(wù)和日常管理活動(dòng)，防止由于信息系統(tǒng)故障、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的業(yè)務(wù)中斷或安全事故，公司特依據(jù)《ISO/IEC27001:2022信息安全管理體系要求》標(biāo)準(zhǔn)要求，建立了文件化的信息安全管理體系。本體系是信息安全管理的綱領(lǐng)性文件，是指導(dǎo)公司建立并實(shí)施信息安全管理體系的綱領(lǐng)和行動(dòng)準(zhǔn)則，用于貫徹信息安全管理方針，實(shí)現(xiàn)信息安全管理體系的有效運(yùn)行和持續(xù)改進(jìn)。全體員工必須嚴(yán)格按照本總綱的要求，自覺貫徹管理方針，嚴(yán)格執(zhí)行本總綱的各項(xiàng)規(guī)定，努力實(shí)現(xiàn)公司生產(chǎn)運(yùn)行和日常辦公的安全。并傳達(dá)給外部相關(guān)方。本手冊(cè)自頒布之日起生效執(zhí)行。公司總經(jīng)理：二零二三年一月一日1.4授權(quán)書為了貫徹執(zhí)行信息安全管理體系，滿足《ISO/IEC27001:2022信息安全管理體系要求》的要求，加強(qiáng)對(duì)信息安全管理體系建設(shè)和持續(xù)運(yùn)行的領(lǐng)導(dǎo)工作，特任命_xxx_先生為公司信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：1） 領(lǐng)導(dǎo)信息安全管理體系的建立、運(yùn)行和維護(hù)，開展資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估；2） 協(xié)調(diào)與信息安全管理體系有關(guān)的各項(xiàng)工作；3） 確保提高員工信息安全意識(shí)；4） 督促信息安全管理體系內(nèi)部審核和信息安全檢查的開展；5） 協(xié)助最高管理者進(jìn)行信息安全管理體系的管理評(píng)審；6） 向最高管理者報(bào)告信息安全管理體系的業(yè)績和改進(jìn)要求。本授權(quán)書自任命日起生效執(zhí)行。公司總經(jīng)理：二零二三年一月一日依據(jù)文件和術(shù)語2.1依據(jù)文件本總綱的制定參考并依據(jù)了下列文件資料，詳見《符合性實(shí)施制度》。1） 法律法規(guī)：是指我國頒布的、所有相關(guān)且具有約束和指導(dǎo)作用的法律、法規(guī)；2） 監(jiān)管規(guī)定：是指證監(jiān)會(huì)及其分支機(jī)構(gòu)頒布的具有約束和指導(dǎo)作用的所有文件、規(guī)定等；3） 文件：公司下發(fā)的對(duì)信息業(yè)務(wù)系統(tǒng)、信息安全管理等有約束力和指導(dǎo)作用的所有文件；4） 國際慣例：是指開展業(yè)務(wù)以及提供信息安全建設(shè)過程中必須遵循的具有約束和指導(dǎo)作用的國際通用慣例；5） 標(biāo)準(zhǔn):＞《ISO/IEC27001:2022信息安全管理體系要求》；2.2術(shù)語定義1） 信息安全：對(duì)信息的機(jī)密性、完整性和可用性的保護(hù)；2） 機(jī)密性：確保信息僅供給那些獲得授權(quán)的人使用；3） 完整性：保護(hù)信息及信息處理方法的準(zhǔn)確性和完全性；4） 可用性：確保獲得授權(quán)使用該信息及信息系統(tǒng)的人能及時(shí)、可靠地使用；5）風(fēng)險(xiǎn)評(píng)估：評(píng)估信息及信息處理系統(tǒng)所存在的或可能產(chǎn)生的威脅、影響和薄弱環(huán)節(jié)，是風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過程；風(fēng)險(xiǎn)管理：指導(dǎo)和控制組織通過區(qū)分、控制、減少或去除等方法將風(fēng)險(xiǎn)控制在可承受范圍內(nèi)的活動(dòng)；裁剪說明《ISO/IEC27001:2022信息安全管理體系要求》的條款與公司信息安全管理體系的適用關(guān)系，詳見《信息安全管理體系適用性聲明(SOA)》o組織環(huán)境4.1組織環(huán)境描述1、 內(nèi)外部組織關(guān)系XXX軟件有限公司成立于2011年，是中國領(lǐng)先的呼叫中心與云計(jì)算應(yīng)用服務(wù)提供商。公司制定《組織環(huán)境及相關(guān)方管理控制程序》確保識(shí)別組織所處的環(huán)境。公司倡導(dǎo)“人性化科技幫助客戶提升業(yè)績”，致力于幫助企業(yè)利用云計(jì)算技術(shù)，以客戶為中心，協(xié)同各種經(jīng)營資源，改善營銷流和服務(wù)流，從而提高人均產(chǎn)值，重塑客戶體驗(yàn)。訊鳥軟件是中國云計(jì)算應(yīng)用/SaaS>PaaS應(yīng)用的先驅(qū)，從2015年即開始研發(fā)云計(jì)算SaaS產(chǎn)品，擁有上百人的云計(jì)算專業(yè)研發(fā)隊(duì)伍、國內(nèi)一流的云計(jì)算業(yè)務(wù)咨詢顧問和運(yùn)營服務(wù)團(tuán)隊(duì)，擁有350余項(xiàng)自主知識(shí)產(chǎn)權(quán)。2、 法律法規(guī)環(huán)境公司應(yīng)遵循信息安全法律法規(guī)要求和義務(wù)，避免員工違反法律、法規(guī)的要求，控制相關(guān)法律風(fēng)險(xiǎn)。具體要求見《法律法規(guī)符合性控制程序。4.2信息安全相關(guān)方的需求和期望公司制定《組織環(huán)境及相關(guān)方管理控制程序》，確保識(shí)別及應(yīng)對(duì)

相關(guān)方的需求和期望。公司信息安全相關(guān)方包括認(rèn)證單位、客戶、供應(yīng)商、內(nèi)部部門及員工等。各相關(guān)方的信息安全要求和期望均應(yīng)及時(shí)識(shí)別，并確定哪些要求通過信息安全管理系統(tǒng)解決。并在實(shí)際業(yè)務(wù)開展時(shí)應(yīng)遵照?qǐng)?zhí)行。相關(guān)方識(shí)別原因信息安全要求和期望更新頻率識(shí)別方法認(rèn)證單位IS027001符合體系標(biāo)準(zhǔn)要求方可通過認(rèn)證相關(guān)資質(zhì)的信息安全要求認(rèn)證標(biāo)準(zhǔn)發(fā)布周期與認(rèn)證單位聯(lián)系客戶合同關(guān)系合同中要求的信息安全內(nèi)容合同要求更新周期合同供應(yīng)商合同關(guān)系合同中要求的信息安全內(nèi)容合同要求更新周期合同內(nèi)部部門及員工信息安全工作執(zhí)行層各部門實(shí)際工作中的信息安全要求個(gè)人隱私安全不定期安全會(huì)4.3信息安全管理體系范圍的確定體系范圍的確定主要考慮到公司的實(shí)際業(yè)務(wù)特點(diǎn)和資源的合理利用，在公司范圍內(nèi)建立信息安全管理體系，有利于全面的提高公司信息安全管理水平，保障業(yè)務(wù)穩(wěn)定發(fā)展的需求。業(yè)務(wù)范圍：云呼叫中心軟件平臺(tái)的開發(fā)及運(yùn)維、呼叫中心業(yè)務(wù)及相關(guān)信息服務(wù)；?物理范圍：XXXX室；?資產(chǎn)范圍：支撐業(yè)務(wù)活動(dòng)的文檔、數(shù)據(jù)、軟硬件系統(tǒng)、物理環(huán)境、人員及支持性第三方服務(wù)、無形資產(chǎn)（專利）等全部信息資產(chǎn)；組織范圍：總裁辦、行政部、人力資源部、商務(wù)采購部、財(cái)務(wù)部、產(chǎn)品部、銷售部、服務(wù)部、研發(fā)部、測(cè)試部。4.4信息安全管理體系公司依據(jù)《ISO/IEC27001:2022信息安全管理體系要求》的要求，同時(shí)考慮行業(yè)的特點(diǎn)，從業(yè)務(wù)需求岀發(fā)，遵從風(fēng)險(xiǎn)管理的理念，注重過程管理，建立和實(shí)施信息安全管理體系，確保與信息安全相關(guān)的資源、技術(shù)、管理等因素處于受控狀態(tài)，形成文件并加以實(shí)施、保持和持續(xù)改進(jìn)，有效防范各類安全事故或人為有意的破壞事件，保障公司信息的保密性、完整性和可用性，確保各項(xiàng)業(yè)務(wù)的連續(xù)性。5.領(lǐng)導(dǎo)力5.1領(lǐng)導(dǎo)和承諾由公司負(fù)責(zé)人授權(quán)管理者代表全權(quán)負(fù)責(zé)信息安全管理體系的日常工作，包括批準(zhǔn)并正式發(fā)布各項(xiàng)制度、規(guī)定，建立體系推進(jìn)組織，任命相關(guān)角色，協(xié)調(diào)與信息安全管理體系有關(guān)的各項(xiàng)工作。最高管理者應(yīng)通過以下方式展示對(duì)信息安全管理體系的領(lǐng)導(dǎo)力和承諾：A） 確保建立信息安全政策和信息安全目標(biāo)，并與組織的戰(zhàn)略方向相一致；B） 確保將信息安全管理體系要求整合到組織的流程中；C） 確保信息安全管理體系所需資源的可用性；D） 溝通有效信息安全管理和符合信息安全管理體系要求的重要性；E） 確保信息安全管理制度達(dá)到預(yù)期效果）；F） 指導(dǎo)和支持人員為信息安全管理體系的有效性作出貢獻(xiàn)；g）促進(jìn)持續(xù)改進(jìn);而且H）支持其他相關(guān)的管理角色，以展示他們的領(lǐng)導(dǎo)力，因?yàn)檫@適用于他們的責(zé)任領(lǐng)域。注:本文件中提及的“業(yè)務(wù)”可以廣義地解釋為對(duì)組織存在的目的具有核心意義的活動(dòng)。5.2信息安全方針高層管理者應(yīng)建立信息安全方針，以：A） 適合于組織的冃的；B） 包括信息安全目標(biāo)（見6?2）或提供設(shè)置信息安全目標(biāo)的框架；0包括滿足與信息安全相關(guān)的適用要求的承諾；D） 包括對(duì)持續(xù)改進(jìn)信息安全管理系統(tǒng)的承諾。信息安全方針應(yīng)：E） 文件化并保持可用性；F） 在組織內(nèi)部進(jìn)行溝通傳達(dá)；G） 適當(dāng)時(shí)，對(duì)相關(guān)方可用。信息安全方針：以客戶為中心，將安全意識(shí)融入日常工作、嚴(yán)格審查各項(xiàng)控制措施、及時(shí)消除安全隱患、保障業(yè)務(wù)連續(xù)性。5?3組織角色、職責(zé)和權(quán)限最高管理者應(yīng)確保分配并傳達(dá)了信息安全相關(guān)角色的職責(zé)和權(quán)限。相互沖突的職責(zé)和相互沖突的責(zé)任領(lǐng)域應(yīng)被隔離。最高管理者應(yīng)分配以下職責(zé)和權(quán)限：A） 確保信息安全管理體系符合本文件的要求；B） 向最高管理者報(bào)告信息安全管理體系的執(zhí)行情況。注:最高管理者還可以在組織內(nèi)部為報(bào)告信息安全管理系統(tǒng)的績效分配職責(zé)和權(quán)限。?信息安全管理體系負(fù)責(zé)人(工作小組組長)：負(fù)責(zé)組織建立、實(shí)施、保持和改進(jìn)信息安全管理體系，保證信息安全體系的有效運(yùn)行；負(fù)責(zé)公司信息安全管理手冊(cè)(一級(jí))的審核，制度文件(二級(jí))的審批；組織并領(lǐng)導(dǎo)公司內(nèi)部審核工作；負(fù)責(zé)組織發(fā)起信息安全管理體系的管理評(píng)審工作；負(fù)責(zé)向領(lǐng)導(dǎo)小組報(bào)告信息安全體系運(yùn)行的業(yè)績和任何改進(jìn)的需求。?信息安全工作小組：負(fù)責(zé)本部門的信息安全管理工作，負(fù)責(zé)保護(hù)本部門所管理、使用的信息資產(chǎn)的安全；負(fù)責(zé)指導(dǎo)和要求本部門員工遵守信息安全政策；組織落實(shí)部門信息安全糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施。?公司全體員工：嚴(yán)格遵守所有與信息安全相關(guān)的國家法律、法規(guī)和政策，遵守公司所有的信息安全政策，并簽字承諾遵守保密

協(xié)議的有關(guān)規(guī)定；以安全負(fù)責(zé)的方式使用公司的信息資產(chǎn)；積極參加信息安全教育與培訓(xùn)，提高信息安全意識(shí)；有責(zé)任將違反信息安全政策的事件與行為及時(shí)報(bào)告給本部門信息安全管理員及其他相關(guān)人員。3、組織架構(gòu)及部門職責(zé)公司組織架構(gòu)圖如下，部門包括總裁辦、行政部、人力資源部、商務(wù)釆購部、財(cái)務(wù)部、產(chǎn)品部、銷售部、服務(wù)部、研發(fā)部、測(cè)試部。如下圖所示：總裁辦負(fù)責(zé)協(xié)助總裁執(zhí)行日常工作計(jì)劃和其他工作安排；執(zhí)行相關(guān)信息安全管理規(guī)章制度。2） 行政部負(fù)責(zé)公司各項(xiàng)行政事務(wù)管理工作；完善公司內(nèi)部控制制度建設(shè)；負(fù)責(zé)日常行政事務(wù)工作和辦公設(shè)施、辦公場(chǎng)所等管理工作；上級(jí)領(lǐng)導(dǎo)交辦的其他工作；負(fù)責(zé)制定并執(zhí)行相關(guān)信息安全管理的規(guī)章制度。3） 人力資源部負(fù)責(zé)人力資源規(guī)劃的制定、實(shí)施及完善；負(fù)責(zé)組織機(jī)構(gòu)方案、人員編制、崗位評(píng)價(jià)方案的研擬與執(zhí)行；負(fù)責(zé)培訓(xùn)體系、績效考評(píng)體系的制定、實(shí)施及追蹤；負(fù)責(zé)公司人力成本的預(yù)算及調(diào)控；部門費(fèi)用預(yù)算的控制；負(fù)責(zé)企業(yè)文化的建立、宣傳及推動(dòng)；員工職業(yè)生涯的規(guī)劃設(shè)計(jì)；負(fù)責(zé)員工的招聘、高級(jí)人才的引進(jìn)；執(zhí)行相關(guān)信息安全管理的規(guī)章制度。4） 商務(wù)采購部負(fù)責(zé)公司第三方服務(wù)業(yè)務(wù)談判及組織實(shí)施；負(fù)責(zé)各項(xiàng)第三方服務(wù)業(yè)務(wù)合同的保管、查詢、建立合同檔案，定期檢查合同執(zhí)行情況，不斷完善合同的各項(xiàng)條款；負(fù)責(zé)各項(xiàng)第三方服務(wù)業(yè)務(wù)合同的簽訂、變更、執(zhí)行、終止；負(fù)責(zé)各種促銷活動(dòng)方案中商戶的協(xié)調(diào)和落實(shí)；執(zhí)行相關(guān)信息安全管理的規(guī)章制度；5） 財(cái)務(wù)部圍繞公司的經(jīng)營發(fā)展規(guī)劃和工作計(jì)劃，負(fù)責(zé)編制公司財(cái)務(wù)計(jì)劃和費(fèi)用預(yù)算，有效地籌劃和運(yùn)用公司資金；財(cái)務(wù)制度的建設(shè)和規(guī)范的制定；做好財(cái)務(wù)統(tǒng)計(jì)和會(huì)計(jì)賬目、報(bào)表及年終結(jié)算工作，并妥善保管會(huì)計(jì)憑證，賬簿、報(bào)表和其他檔案資料；財(cái)務(wù)部日常管理工作，部門人員的管理、培訓(xùn)、考核；建立健全公司內(nèi)部核算的組織、指導(dǎo)和數(shù)據(jù)管理體系，以及核算和財(cái)務(wù)管理的規(guī)章制度；做好公司各項(xiàng)資金的收取與支出管理工作；執(zhí)行相關(guān)信息安全管理的規(guī)章制度。6） 產(chǎn)品部為公司提供準(zhǔn)確的行業(yè)定位，及時(shí)提供市場(chǎng)信息反饋；制定和實(shí)施年度產(chǎn)品推廣計(jì)劃和新產(chǎn)品開發(fā)計(jì)劃（依據(jù)市場(chǎng)需求的變化，要提出合理化建議）；依據(jù)市場(chǎng)變化要隨時(shí)調(diào)整產(chǎn)品戰(zhàn)略與營銷戰(zhàn)術(shù)（包括產(chǎn)品價(jià)格的調(diào)整等），并組織相關(guān)人員接受最新產(chǎn)品知識(shí)的培訓(xùn)；制定公司品牌管理與發(fā)展策略，維護(hù)公司品牌；管理、監(jiān)督和控制市場(chǎng)政策執(zhí)行情況；執(zhí)行相關(guān)信息安全管理的規(guī)章制度。7） 銷售部負(fù)責(zé)產(chǎn)品或服務(wù)的銷售工作；負(fù)責(zé)代理人市場(chǎng)的推廣，特別是戰(zhàn)略客戶的市場(chǎng)推廣策略并實(shí)施；負(fù)責(zé)制定并管理銷售業(yè)務(wù)流程；負(fù)責(zé)對(duì)銷售業(yè)務(wù)流程執(zhí)行的監(jiān)督；執(zhí)行相關(guān)信息安全管理規(guī)章制度。8） 服務(wù)部負(fù)責(zé)對(duì)本部門新員工的工作技能進(jìn)行培訓(xùn)，并進(jìn)行考核；負(fù)責(zé)云端產(chǎn)品部署、管理、維護(hù)、運(yùn)營和服務(wù)運(yùn)營質(zhì)量的管理和提升工作；負(fù)責(zé)客戶關(guān)系的維護(hù)、客戶的技術(shù)培訓(xùn)、合同的執(zhí)行，項(xiàng)目驗(yàn)收等相關(guān)工作；負(fù)責(zé)大數(shù)據(jù)的運(yùn)營、自建呼叫中心平臺(tái)及云端產(chǎn)品的客戶業(yè)務(wù)和售后服務(wù)工作，保證客戶的滿意度；負(fù)責(zé)制定和執(zhí)行服務(wù)運(yùn)營及環(huán)境維護(hù)管理規(guī)章制度和相關(guān)信息安全管理的規(guī)章制度。研發(fā)部負(fù)責(zé)提供符合客戶要求和認(rèn)可的技術(shù)支持和解決方案；承擔(dān)產(chǎn)品設(shè)計(jì)和開發(fā)工作；負(fù)責(zé)技術(shù)方案的評(píng)審工作，保證技術(shù)方案的可行性;負(fù)責(zé)組織和協(xié)調(diào)開發(fā)項(xiàng)目的資源，保證項(xiàng)目按計(jì)劃進(jìn)行；負(fù)責(zé)制定項(xiàng)目計(jì)劃，并根據(jù)各種變化修改項(xiàng)目計(jì)劃；制定有效的項(xiàng)目決策過程；負(fù)責(zé)實(shí)施項(xiàng)目的管理、開發(fā)、質(zhì)量保證過程，確?？蛻舻某杀?、進(jìn)度、績效和質(zhì)量目標(biāo)；負(fù)責(zé)確保在項(xiàng)目生命周期中遵循實(shí)施公司的管理和質(zhì)量政策；負(fù)責(zé)招聘和培訓(xùn)必須的項(xiàng)目成員；負(fù)責(zé)確定項(xiàng)冃的人員組織結(jié)構(gòu);進(jìn)行風(fēng)險(xiǎn)管理；負(fù)責(zé)定期舉行項(xiàng)冃評(píng)估(review)會(huì)議;負(fù)責(zé)為項(xiàng)目所有成員提供足夠的設(shè)備、有效的工具和項(xiàng)目開發(fā)過程；負(fù)責(zé)有效管理項(xiàng)目資源；負(fù)責(zé)制定并執(zhí)行相關(guān)信息安全管理的規(guī)章制度。測(cè)試部負(fù)責(zé)協(xié)調(diào)業(yè)務(wù)管理體系下各部門工作；負(fù)責(zé)源代碼及軟件的完整性、可用性、功能、性能進(jìn)行系統(tǒng)性測(cè)試；負(fù)責(zé)對(duì)各業(yè)務(wù)系統(tǒng)及運(yùn)行環(huán)境進(jìn)行系統(tǒng)性測(cè)試和安全性檢測(cè)；負(fù)責(zé)對(duì)源代碼資源系統(tǒng)管理及備份；負(fù)責(zé)制定并執(zhí)行相關(guān)信息安全管理的規(guī)章制度。6.策劃6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施1.1總則公司制定《應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇措施控制程序》，在規(guī)劃信息安全管理體系時(shí)，應(yīng)考慮4.1中提到的問題和4?2中提到的要求，并確定需要解決的風(fēng)險(xiǎn)和機(jī)會(huì)，以：A） 確保信息安全管理體系能夠?qū)崿F(xiàn)其預(yù)期結(jié)果；B） 防止或減少不良影響；c）實(shí)現(xiàn)持續(xù)改進(jìn)。組織應(yīng)規(guī)劃：D）應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)遇的措施;和e）如何1） 整合和實(shí)施這些措施并將其納入信息安全管理體系過程2） 評(píng)估這些行動(dòng)的有效性。1?2信息安全風(fēng)險(xiǎn)評(píng)估組織應(yīng)定義并應(yīng)用以下信息安全風(fēng)險(xiǎn)評(píng)估過程：A） 建立并維護(hù)信息安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)，包括：1） 風(fēng)險(xiǎn)接受準(zhǔn)則;和2） 執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則；B） 確保重復(fù)的信息安全風(fēng)險(xiǎn)評(píng)估產(chǎn)生一致、有效和可比較的結(jié)果；C） 識(shí)別信息安全風(fēng)險(xiǎn)：1）應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估流程，識(shí)別與信息安全管理體系范圍內(nèi)信息的保密性、完整性和可用性喪失相關(guān)的風(fēng)險(xiǎn);而且2）識(shí)別風(fēng)險(xiǎn)所有者；D） 分析信息安全風(fēng)險(xiǎn)：1） 評(píng)估6.1.2c）1）中確定的風(fēng)險(xiǎn)成為現(xiàn)實(shí)將會(huì)產(chǎn)生的潛在后果;2） 評(píng)估6.1.2c）1）中確定的風(fēng)險(xiǎn)發(fā)生的現(xiàn)實(shí)可能性;而且3） 確定風(fēng)險(xiǎn)級(jí)別；E） 評(píng)估信息安全風(fēng)險(xiǎn)：1） 將風(fēng)險(xiǎn)分析結(jié)果與6.1.2a）中建立的風(fēng)險(xiǎn)標(biāo)準(zhǔn)進(jìn)行比較;而且2） 將分析的風(fēng)險(xiǎn)按優(yōu)先順序進(jìn)行風(fēng)險(xiǎn)處理。公司定義并應(yīng)用風(fēng)險(xiǎn)評(píng)估過程，組織應(yīng)保留有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估過程的文件化信息。6.1.3風(fēng)險(xiǎn)處置信息安全管理領(lǐng)導(dǎo)小組應(yīng)定義和實(shí)施信息安全風(fēng)險(xiǎn)處置過程：A） 根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，選擇適當(dāng)?shù)男畔踩L(fēng)險(xiǎn)處理方案；B） 確定實(shí)施所選信息安全風(fēng)險(xiǎn)處理方案所需的所有控制措施；注1:組織可以根據(jù)需要設(shè)計(jì)控制措施，或從任何來源識(shí)別控制。c）將上述b）中確定的控制與附件A中的控制進(jìn)行比較，并確認(rèn)沒有遺漏必要的控制措施；注2:附件A包含可能的信息安全控制的列表。本文件的使用者請(qǐng)參閱附件A,以確保沒有必要的信息安全控制被忽略。注3:附件A所列的信息安全控制并非詳盡無遺和附加信息如果需要，可以包括安全控制。2信息安全目標(biāo)和實(shí)現(xiàn)目標(biāo)的規(guī)劃公司在相關(guān)職能和級(jí)別建立信息安全目標(biāo)。信息安全冃標(biāo)應(yīng)：A） 符合信息安全政策；B） 可測(cè)量的（如果可行）；0考慮適用的信息安全要求，以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果；d） 被監(jiān)控；e） 溝通傳達(dá)；F） 適當(dāng)更新；G） 作為文件信息提供。公司保留關(guān)于信息安全目標(biāo)的文件化信息。公司在規(guī)劃如何實(shí)現(xiàn)其信息安全目標(biāo)時(shí)，應(yīng)確定：H） 將要做什么；I） 需要什么資源；J） 誰將負(fù)責(zé)；K） 何時(shí)完成;而且L） 如何評(píng)價(jià)結(jié)果。信息安全目標(biāo)：為落實(shí)上述方針，公司定義如下信息安全目標(biāo)：1） 全年不發(fā)生重大信息安全事件和二級(jí)以上運(yùn)行安全事故；2） 重要保障時(shí)期不發(fā)生三級(jí)以上安全事件。6.3變更計(jì)劃當(dāng)組織確定需要變更信息安全管理體系時(shí)，應(yīng)有計(jì)劃地進(jìn)行變更。7.支持7.1資源提供公司領(lǐng)導(dǎo)層應(yīng)確保提供以下方面所需的資源：1） 實(shí)施、保持管理體系并持續(xù)改進(jìn)其有效性所需的各種資源；2） 滿足客戶要求，提高客戶滿意度所需的各種資源。編制了《人力資源控制程序》，公司根據(jù)人員的學(xué)歷、技能和經(jīng)驗(yàn)，組織面向全員的信息安全意識(shí)培訓(xùn)及面向特定人員的專業(yè)IT技能培訓(xùn)，確保其能勝任工作。2信息安全能力管理結(jié)合當(dāng)前信息安全管理認(rèn)證范圍，依據(jù)《人力資源控制程序》對(duì)員工信息安全能力管理主要從以下幾方面出發(fā)來實(shí)現(xiàn)：1） 影響信息安全執(zhí)行工作的人員崗位，在崗位設(shè)立時(shí)應(yīng)明確信息安全能力的要求,并在招聘時(shí)嚴(yán)格把關(guān)（例如學(xué)歷教育、能力測(cè)試等）；2） 確保人員在適當(dāng)教育、培訓(xùn)和經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任工作；在人員調(diào)崗時(shí)，應(yīng)考慮相關(guān)人員信息安全能力的確定和培養(yǎng)。3） 保留培訓(xùn)記錄作為能力培養(yǎng)的證據(jù)。4）7.3意識(shí)根據(jù)《人力資源控制程序》，每季度對(duì)當(dāng)季入職的所有新員工進(jìn)行信息安全意識(shí)培訓(xùn)并進(jìn)行考試，對(duì)于信息安全小組成員應(yīng)進(jìn)行崗位相關(guān)的信息安全專業(yè)培訓(xùn)，對(duì)于信息安全崗位的工作人員（如系統(tǒng)管理員）應(yīng)安排專業(yè)技能培訓(xùn)。4信息安全溝通管理公司制定《信息溝通控制程序》，確保利益相關(guān)方由三類群體構(gòu)成，分別是客戶、員工、供應(yīng)商。針對(duì)不同的相關(guān)方群體，溝通方式分為內(nèi)部和外部兩類，并建立起不同的溝通機(jī)制和聯(lián)系通訊錄，以及

時(shí)了解來自利益相關(guān)方的信息安全要求或?qū)⒐镜男畔踩髠鬟_(dá)給利益相關(guān)方。溝通對(duì)象溝通機(jī)制與形式溝通內(nèi)容溝通頻率溝通責(zé)任部門客戶客戶滿意度調(diào)查改善服務(wù)，提升客戶滿意度客戶對(duì)信息安全的要求信息安全相關(guān)情況及問題溝通信息安全事件通報(bào)定期、發(fā)生時(shí)服務(wù)部員工信息安全意識(shí)培訓(xùn)信息安全目標(biāo)和方針信息安全制度要求信息安全職責(zé)信息安全意識(shí)調(diào)查不定期信息安全小組供應(yīng)商供應(yīng)商評(píng)價(jià)項(xiàng)目合作郵件往來電話咨詢供應(yīng)商服務(wù)評(píng)價(jià)公司信息安全要求信息安全咨詢建議信息安全事件響應(yīng)和處理不定期商務(wù)采購部7.5文件化信息控制5.1總則文件化信息是指支撐和維持公司信息安全管理體系運(yùn)行的相關(guān)信息，公司制定《文件化信息控制程序》以確保存儲(chǔ)信息能夠符合信息安全管理目標(biāo)，體現(xiàn)形式包括（但不限于）如下內(nèi)容：1） 《ISO/IEC27001:2022信息安全管理體系要求》所要求的管理手冊(cè)；2） 《ISO/IEC27001:2022信息安全管理體系要求》所要求的制度文件和作業(yè)指導(dǎo)書，即各項(xiàng)流程管理辦法、管理辦法、實(shí)施細(xì)則等;3） 《ISO/IEC27001:2022信息安全管理體系要求》所要求的各項(xiàng)記錄和日志；4） 信息安全管理體系運(yùn)行所需要的其他相關(guān)信息，包括但不限于文檔、數(shù)據(jù)等。5） 文件架構(gòu)信息安全管理體系文件包括四個(gè)層次：即信息安全管理手冊(cè)、管理辦法/制度類文件、管理辦法/實(shí)施細(xì)則/操作指南類文件、記錄/日志。如下圖所示：技術(shù)手冊(cè)各層級(jí)文件所關(guān)注的內(nèi)容依次如下：一階文件：關(guān)于信息安全管理體系的策略聲明文件，即信息安全管理手冊(cè)。二階文件：關(guān)于《ISO/IEC27001:2022信息安全管理體系要求》各個(gè)控制域的標(biāo)準(zhǔn)指南文件，體現(xiàn)信息安全管理體系在各個(gè)方面的目標(biāo)規(guī)范和基本要求。三階文件：關(guān)于具體信息安全問題的規(guī)程文件，指導(dǎo)實(shí)現(xiàn)對(duì)特定信息安全風(fēng)險(xiǎn)點(diǎn)的控制和對(duì)具體業(yè)務(wù)工作的安全管理要求。四階文件：關(guān)于信息安全體系運(yùn)行的各類記錄和報(bào)告，體現(xiàn)各項(xiàng)工作能夠按照文件的具體要求有效開展。具體文件見《信息安全管理體系文件矩陣表》。5.2創(chuàng)建和更新依據(jù)《文件化信息控制程序》在創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模篈） 標(biāo)識(shí)和描述（如標(biāo)題、日期、作者;或參考號(hào)）；B） 格式（例如語言、軟件版本、圖形）和媒介（例如紙張、電子）；而且0評(píng)審和批準(zhǔn)其適宜性和充分性。7.5.3文件化信息的控制A文件控制公司對(duì)信息安全管理體系的相關(guān)文件進(jìn)行全面控制，以滿足《ISO/IEC27001:2022信息安全管理體系要求》標(biāo)準(zhǔn)，具體要求包括：1） 確保文件編制、評(píng)審、批準(zhǔn)、發(fā)放、使用、修改、作廢得到有效的控制；2） 確保文件清晰可辨，版本標(biāo)示清楚，易于識(shí)別和檢索；3） 確保在使用時(shí)可獲得最新、有效版本的適用文件；4） 確保外來文件得到識(shí)別，對(duì)文件的分發(fā)加以控制；5） 對(duì)不同媒體和不同種類的文件，采取相應(yīng)的控制；6） 防止作廢文件的非授權(quán)使用，保留作廢文件時(shí)，需對(duì)這些文件進(jìn)行明確的標(biāo)識(shí)。公司對(duì)信息安全管理體系文件的控制、文件分發(fā)及保管等控制做出規(guī)定，明確體系文件的最新版本應(yīng)從指定保管部門獲得，相關(guān)控制要求參見《文件化信息控制程序》。B記錄控制為提供符合信息安全管理體系要求的證據(jù)且體現(xiàn)體系的有效運(yùn)行，保證管理過程的可追溯性，公司編制并實(shí)施了相關(guān)制度文件和流程管理辦法及實(shí)施細(xì)則，通過規(guī)定信息安全管理相關(guān)記錄的標(biāo)識(shí)、收集、歸檔、保管、借閱、銷毀和檢查等要求，確保相關(guān)記錄能夠保持完備、易于識(shí)別和檢索。建立相應(yīng)的信息記錄控制清單并明確責(zé)任部門、保存期限及存檔要求，相關(guān)控制要求參見《文件化信息控制程序》。8、運(yùn)行8.1體系策劃與運(yùn)行組織應(yīng)策劃、實(shí)施和控制滿足要求所需的過程，并通過以下方式實(shí)施第6章確定的措施：通過：-建立過程的標(biāo)準(zhǔn)；-根據(jù)標(biāo)準(zhǔn)實(shí)施過程控制。應(yīng)在必要的程度上提供文件化的信息，以確信過程己按計(jì)劃進(jìn)行。組織應(yīng)控制計(jì)劃中的變更，并審查意外變更的后果，必要時(shí)采取行動(dòng)減輕任何不利影響。組織應(yīng)確保對(duì)與信息安全管理體系相關(guān)的外部提供的過程、產(chǎn)品或服務(wù)進(jìn)行控制。詳見《實(shí)施運(yùn)行控制程序》2信息安全風(fēng)險(xiǎn)評(píng)估考慮到6.1.2a）中建立的風(fēng)險(xiǎn)評(píng)估執(zhí)行準(zhǔn)則，組織應(yīng)按計(jì)劃的時(shí)間間隔執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估，當(dāng)重大變更被提出或發(fā)生時(shí)也應(yīng)執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。組織應(yīng)保留信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果的文件化信息。3信息安全風(fēng)險(xiǎn)處理組織實(shí)施信息安全風(fēng)險(xiǎn)處理計(jì)劃。組織應(yīng)保留信息安全風(fēng)險(xiǎn)處理結(jié)果的文件化信息。績效評(píng)價(jià)1監(jiān)視、測(cè)量、分析和評(píng)價(jià)公司制定《監(jiān)視、測(cè)量、分析和評(píng)價(jià)控制程序》確定：A） 需要監(jiān)控和測(cè)量的內(nèi)容，包括信息安全過程和控制；B） 監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法，如適用，以確保有效的結(jié)果。所選方法應(yīng)產(chǎn)生可比性和可重復(fù)性的結(jié)果，被認(rèn)為是有效的；C）何時(shí)進(jìn)行監(jiān)視和測(cè)量;D）負(fù)責(zé)監(jiān)控和測(cè)量的人員;E） 何時(shí)對(duì)監(jiān)視和測(cè)量結(jié)果進(jìn)行分析和評(píng)價(jià)；F） 誰應(yīng)分析和評(píng)價(jià)這些結(jié)果。應(yīng)提供文件化的信息作為結(jié)果的證據(jù)。組織應(yīng)評(píng)估信息安全績效和信息安全管理體系的有效性。參見《監(jiān)視、測(cè)量、分析和評(píng)價(jià)控制程序》。9.1.1實(shí)施流程設(shè)計(jì)測(cè)量指標(biāo)信息安全工作組依據(jù)信息安全管理策略設(shè)計(jì)衡量控制措施有效性的測(cè)量指標(biāo)。測(cè)量指標(biāo)應(yīng)集中在對(duì)公司相對(duì)重要的信息安全重點(diǎn)管控領(lǐng)域，包括但不限于：人員信息安全管理、資產(chǎn)管理、物理和環(huán)境管理、通訊與操作管理、訪問控制、信息安全事件管理等信息安全管理領(lǐng)域。信息安全工作組應(yīng)依據(jù)測(cè)量指標(biāo)制定相應(yīng)的測(cè)量方法、測(cè)量周期及目標(biāo)值。信息安全工作組應(yīng)將測(cè)量指標(biāo)、測(cè)量方法、目標(biāo)值、測(cè)量周期等信息，提交信息安全管理領(lǐng)導(dǎo)小組審核，經(jīng)審核后形成有效性測(cè)量統(tǒng)計(jì)表。實(shí)施測(cè)量信息安全工作組應(yīng)在管理評(píng)審會(huì)議召開前，依據(jù)有效性測(cè)量統(tǒng)計(jì)表要求的測(cè)量周期，組織各小組開展有效性測(cè)量活動(dòng)。各小組信息安全員應(yīng)依據(jù)有效性測(cè)量統(tǒng)計(jì)表定義的數(shù)據(jù)來源收集、統(tǒng)計(jì)信息安全管理體系運(yùn)行數(shù)據(jù)，并提交信息安全工作組。信息安全工作組對(duì)運(yùn)行數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，將測(cè)量指標(biāo)的實(shí)際值記錄于有效性測(cè)量統(tǒng)計(jì)表，并將實(shí)際值與目標(biāo)值進(jìn)行對(duì)比，若存在測(cè)量指標(biāo)未達(dá)標(biāo)項(xiàng)，將其提交信息安全管理領(lǐng)導(dǎo)小組確認(rèn)。信息安全工作組應(yīng)組織協(xié)調(diào)測(cè)量指標(biāo)未達(dá)標(biāo)的責(zé)任小組依據(jù)《糾正和預(yù)防控制程序》進(jìn)行改善。信息安全管理體系有效性測(cè)量活動(dòng)應(yīng)在內(nèi)審及管理評(píng)審前開展，以保證通過內(nèi)審活動(dòng)能有效地檢驗(yàn)測(cè)量指標(biāo)的正確性，并將有效性測(cè)量的結(jié)果作為管理評(píng)審活動(dòng)的輸入項(xiàng)。持續(xù)改進(jìn)測(cè)量根據(jù)“循序漸進(jìn)、持續(xù)改進(jìn)”的原則，信息安全工作組負(fù)責(zé)對(duì)有效性測(cè)量指標(biāo)不斷進(jìn)行完善。信息安全管理領(lǐng)導(dǎo)小組應(yīng)對(duì)測(cè)量指標(biāo)定期組織評(píng)估，結(jié)合實(shí)際環(huán)境的變化對(duì)現(xiàn)有的測(cè)量指標(biāo)進(jìn)行修訂或完善。評(píng)估周期應(yīng)不超過內(nèi)審活動(dòng)的周期（每年至少一次），因此測(cè)量指標(biāo)修訂和完善的周期不能超過一年。9.2內(nèi)部審核2.1總則公司制定《內(nèi)部審核控制程序》按計(jì)劃的間隔時(shí)間進(jìn)行內(nèi)部審核,以提供信息安全管理體系是否：a） 符合1） 組織自身對(duì)信息安全管理體系的要求；2） 本標(biāo)準(zhǔn)的要求；b） 得到有效實(shí)施和保持。9.2.2內(nèi)部審核項(xiàng)目組織應(yīng)計(jì)劃、建立、實(shí)施和保持審核方案），包括審核的頻率、方法、職責(zé)、規(guī)劃要求和報(bào)告。組織在制定內(nèi)部審核方案時(shí)，應(yīng)考慮有關(guān)過程的重要性和以往審核的結(jié)果。組織應(yīng):A） 確定每次審核的審核準(zhǔn)則和范圍；B） 選擇審核員并進(jìn)行審計(jì)，確保審計(jì)過程的客觀性和公正性；C） 確保將審核結(jié)果報(bào)告給相關(guān)管理層；應(yīng)保持文件化的信息，作為審核程序和審核結(jié)果的實(shí)施情況的證據(jù)。詳見《內(nèi)部審核控制程序》9.3管理評(píng)審9.3?1總則公司制定《管理評(píng)審控制程序》，明確最高管理者按計(jì)劃的時(shí)間間隔對(duì)組織的信息安全管理體系進(jìn)行評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性。9.3.2管理評(píng)審的輸入管理評(píng)審應(yīng)包括考慮:A） 以前管理評(píng)審的工作狀態(tài)；B） 與信息安全管理體系相關(guān)的外部和內(nèi)部問題的變化；C） 與信息安全管理體系相關(guān)的利害關(guān)系方的需求和期望的變化;D） 對(duì)資訊保安表現(xiàn)的反饋，包括以下方面的趨勢(shì)：1） 不符合項(xiàng)及糾正措施；2） 監(jiān)視和測(cè)量結(jié)果；3） 審核結(jié)果；4） 信息安全目標(biāo)的實(shí)現(xiàn)情況；E） 來自相關(guān)方的反饋；F） 風(fēng)險(xiǎn)評(píng)估結(jié)果和風(fēng)險(xiǎn)處理方案現(xiàn)狀；G） 持續(xù)改進(jìn)的機(jī)會(huì)。9.3.3管理評(píng)審結(jié)果管理評(píng)審的結(jié)果應(yīng)包括與持續(xù)改進(jìn)機(jī)會(huì)和任何信息安全管理體系變更需求有關(guān)的決定。應(yīng)提供文件化的信息作為管理評(píng)審結(jié)果的證據(jù)。具體參見《管理評(píng)審控制程序》。10.改進(jìn)1持續(xù)改進(jìn)公司制定《持續(xù)改進(jìn)控制程序》及《糾正預(yù)防措施控制程序》持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。2不合格及糾正措施發(fā)生不符合時(shí)，組織應(yīng)：A）對(duì)不符合項(xiàng)作岀反應(yīng)，并酌情：1）采取行動(dòng)進(jìn)行控制和糾正;2）處理后果;B） 評(píng)估消除不符合原因的行動(dòng)的必要性，以使不符合不再發(fā)生或在其他地方發(fā)生，方法是：1） 評(píng)審不符合；2） 確定不符合的原因；而且3） 確定是否存在或可能發(fā)生類似的不合格；C） 實(shí)施任何必要的行動(dòng)；D） 審查所采取糾正措施的有效性;而且E） 必要時(shí)對(duì)信息安全管理制度進(jìn)行變更。糾正措施應(yīng)適用于遇到的不合格的影響。應(yīng)提供文件化信息作為以下證據(jù):F）不符合項(xiàng)的性質(zhì)和隨后采取的任何措施;G）任何糾正措施的結(jié)果。具體的做法參考《內(nèi)部審核控制程序》《管理評(píng)審控制程序》及《糾正和預(yù)防措施控制程序》。A.信息安全控制措施A.5組織控制A.5.1信息安全方針信息安全方針和特定于主題的政策應(yīng)由管理層定義、批準(zhǔn)、發(fā)布、與相關(guān)人員和相關(guān)利益相關(guān)方進(jìn)行溝通和確認(rèn)，并在發(fā)生重大變化時(shí)按計(jì)劃的時(shí)間間隔進(jìn)行審查。詳見5.2A.5.2信息安全方面的角色和職責(zé)根據(jù)組織需要為信息安全部門定義和分配信息安全角色和職責(zé)。詳見5.3A.5.3職責(zé)的分離相互沖突的職責(zé)和相互沖突的責(zé)任領(lǐng)域應(yīng)被隔離。詳見5.3A.5.4管理職責(zé)管理層要求所有人員按照組織制定的信息安全方針、特定主題的政策和程序?qū)嵤┬畔踩?。詳?.3A.5.5與政府部門的聯(lián)系本公司應(yīng)與有關(guān)部門建立并保持聯(lián)系。詳見《組織環(huán)境及相關(guān)方控制程序》A.5.6與特殊利益集團(tuán)的聯(lián)系本公司應(yīng)與特殊利益集團(tuán)或其他專業(yè)安全論壇和專業(yè)協(xié)會(huì)建立并保持聯(lián)系。詳見《組織環(huán)境及相關(guān)方控制程序》A.5.7威脅情報(bào)應(yīng)收集和分析與信息安全威脅有關(guān)的信息，以產(chǎn)生威脅情報(bào)。詳見《信息安全溝通控制程序》A.5.8項(xiàng)冃管理中的信息安全將信息安全納入項(xiàng)目管理。詳見《信息系統(tǒng)開發(fā)與項(xiàng)目安全管理程序》A.5.9信息清單及其他相關(guān)資產(chǎn)清單應(yīng)編制和維護(hù)信息清單和其他相關(guān)資產(chǎn)，包括所有者。詳見《信息資產(chǎn)安全管理程序》A.5.10可接受的使用信息和其他相關(guān)資產(chǎn)應(yīng)確定、記錄和執(zhí)行處理信息和其他相關(guān)資產(chǎn)的可接受的使用規(guī)則和程序。詳見《信息資產(chǎn)安全管理程序》A.5.11資產(chǎn)收益人員和其他利害關(guān)系人應(yīng)在變更或終止雇傭、合同或協(xié)議時(shí)歸還該組織所擁有的所有資產(chǎn)。詳見《信息資產(chǎn)安全管理程序》。A.5.12信息分類根據(jù)保密性、完整性、可用性和相關(guān)當(dāng)事人要求，根據(jù)組織的信息安全需求進(jìn)行分類。詳見《信息安全組織建設(shè)管理程序》。A.5.13信息標(biāo)簽應(yīng)根據(jù)本組織所采用的信息分類方案，制定和實(shí)施一套適當(dāng)?shù)男畔?biāo)簽程序。詳見《信息安全組織建設(shè)管理程序》。A.5.14信息傳遞組織內(nèi)以及組織與其他各方之間的各種轉(zhuǎn)讓設(shè)施應(yīng)制定信息傳輸規(guī)則、程序或協(xié)議。詳見《信息安全溝通控制程序》A.5.15訪問控制應(yīng)根據(jù)業(yè)務(wù)和信息安全要求，建立和實(shí)施控制對(duì)信息和其他相關(guān)資產(chǎn)的物理和邏輯訪問的規(guī)則。參見《訪問控制管理控制程序》。A.5.16身份管理應(yīng)管理身份的整個(gè)生命周期。參見《訪問控制管理控制程序》。A.5.17身份驗(yàn)證信息認(rèn)證信息的分配和管理應(yīng)由管理流程進(jìn)行控制，包括告知人員對(duì)認(rèn)證信息的適當(dāng)處理。參見《訪問控制管理控制程序》。A.5.18訪問權(quán)限應(yīng)根據(jù)組織的訪問控制主題政策和規(guī)則提供、審查、修改和刪除對(duì)信息和其他相關(guān)資產(chǎn)的訪問權(quán)。參見《訪問控制管理控制程序》。A.5.19供應(yīng)商關(guān)系中的信息安全應(yīng)定義和實(shí)施流程和程序，以管理與使用供應(yīng)商的產(chǎn)品或服務(wù)相關(guān)的信息安全風(fēng)險(xiǎn)。參見《相關(guān)方信息安全管理程序》。A.5.20解決供應(yīng)商協(xié)議中的信息安全問題應(yīng)根據(jù)供應(yīng)商關(guān)系的類型，與各供應(yīng)商建立并商定相關(guān)的信息安全要求。參見《相關(guān)方信息安全管理程序》。A.5.21管理信息和通信技術(shù)（ICT）供應(yīng)鏈中的信息安全應(yīng)定義和實(shí)施流程和程序，以管理與ICT產(chǎn)品和服務(wù)供應(yīng)鏈相關(guān)的信息安全風(fēng)險(xiǎn)。參見《相關(guān)方信息安全管理程序》。A.5.22對(duì)供應(yīng)商服務(wù)的監(jiān)控、審查和變更管理組織應(yīng)定期監(jiān)測(cè)、審查、評(píng)估和管理供應(yīng)商信息安全實(shí)踐和服務(wù)交付的變化。參見《相關(guān)方信息安全管理程序》。A.5.23使用云服務(wù)的信息安全根據(jù)組織的信息安全要求，建立云服務(wù)的獲取、使用、管理和退出流程。參見《云服務(wù)信息安全管理程序》。A.5.24信息安全突發(fā)事件管理的規(guī)劃與準(zhǔn)備組織應(yīng)通過定義、建立和溝通信息安全事件管理流程、角色和職責(zé)，計(jì)劃和準(zhǔn)備信息安全事件的管理。參見《信息安全事件管理程序》。A.5.25對(duì)信息安全事件的評(píng)估和決策該組織應(yīng)評(píng)估信息安全事件，并決定它們是否要被歸類為信息安全事件。參見《信息安全事件管理程序》。A.5.26響應(yīng)信息安全事件信息安全事件應(yīng)按照文件化的程序進(jìn)行響應(yīng)。參見《信息安全事件管理程序》及《信息系統(tǒng)信息安全應(yīng)急預(yù)案》。A.5.27從信息安全事件中學(xué)習(xí)利用從信息安全事件中獲得的知識(shí)，加強(qiáng)和完善信息安全控制。參見《信息安全事件管理程序》及《信息系統(tǒng)信息安全應(yīng)急預(yù)案》。A.5.28證據(jù)的收集本組織應(yīng)建立并實(shí)施與信息安全事件有關(guān)的證據(jù)的識(shí)別、收集、獲取和保存程序。參見《信息安全事件管理程序》及《信息系統(tǒng)信息安全應(yīng)急預(yù)案》。A.5.29中斷期間的信息安全組織應(yīng)計(jì)劃如何在中斷期間保持適當(dāng)級(jí)別的信息安全。參見《信息安全事件管理程序》及《事故事件薄弱點(diǎn)與故障管理程序》。A.5.30ICT已準(zhǔn)備好業(yè)務(wù)連續(xù)性應(yīng)根據(jù)業(yè)務(wù)連續(xù)性冃標(biāo)和連續(xù)性要求規(guī)劃、實(shí)施、維護(hù)和測(cè)試信息通信技術(shù)準(zhǔn)備情況。參見《信息業(yè)務(wù)連續(xù)性管理控制程序》。A.5.31法律、法定、法規(guī)和合同要求與信息安全相關(guān)的法律、法律、法規(guī)和合同要求以及組織滿足這些要求的方法應(yīng)被確定、記錄并保持最新。通過建立制度完善信息安全相關(guān)法律法規(guī)收集和識(shí)別的要求，并在各項(xiàng)規(guī)章制度中體現(xiàn)相應(yīng)要求并開展培訓(xùn)，使員工明確相關(guān)法律法規(guī)要求并遵照?qǐng)?zhí)行。參見《法律法規(guī)符合性控制程序》。A.5.32知識(shí)產(chǎn)權(quán)本公司應(yīng)實(shí)施適當(dāng)?shù)某绦騺肀Ｗo(hù)知識(shí)產(chǎn)權(quán)。參見《信息安全知識(shí)產(chǎn)權(quán)控制程序》。A.5.33記錄保護(hù)保護(hù)記錄不丟失、銷毀、偽造、非法訪問和非法釋放。參見《文件化信息控制程序》。A.5.34個(gè)人身份信息的隱私和保護(hù)（PII）該組織應(yīng)根據(jù)適用的法律法規(guī)和合同要求，確定并滿足有關(guān)保護(hù)隱私和保護(hù)PII的要求。參見《個(gè)人身份信息的隱私和保護(hù)控制程序》。A.5.35信息安全的獨(dú)立審查組織管理信息安全的方法及其實(shí)施，包括人員、過程和技術(shù)，應(yīng)在計(jì)劃的時(shí)間間隔內(nèi)或在發(fā)生重大變化時(shí)進(jìn)行獨(dú)立審查。參見《內(nèi)部審核控制程序》。A.5.36遵守信息安全的策略、規(guī)則和標(biāo)準(zhǔn)應(yīng)定期審查對(duì)組織的信息安全政策、主題特定政策、規(guī)則和標(biāo)準(zhǔn)的遵守情況。參見《內(nèi)部審核控制程序》。A.5.37文件化的操作程序信息處理設(shè)施的操作程序應(yīng)形成文件，并提供給需要的人員。參見《文件化信息控制程序》。A.6人員控制A.6.1審查對(duì)所有候選人成為人員的背景驗(yàn)證檢查應(yīng)在加入組織之前進(jìn)行，并持續(xù)考慮適用的法律、法規(guī)和道德規(guī)范，并與業(yè)務(wù)要求、要訪問的信息的分類和感知的風(fēng)險(xiǎn)成比例。參見《人力資源控制程序》。A.6.2雇傭關(guān)系的條款和條件雇傭合同協(xié)議應(yīng)當(dāng)說明人員和組織對(duì)信息安全的責(zé)任。參見《人力資源控制程序》。A.6.3信息安全意識(shí)、教育和培訓(xùn)組織人員和相關(guān)相關(guān)方應(yīng)接受適當(dāng)?shù)男畔踩庾R(shí)、教育和培訓(xùn)，并定期更新組織的信息安全政策、具體主題的政策和程序。參見《人力資源控制程序》。A.6.4紀(jì)律處分程序應(yīng)正式制定紀(jì)律程序并溝通，對(duì)違反信息安全政策的人員和其他相關(guān)相關(guān)方采取行動(dòng)。參見《人力資源控制程序》及《信息安全懲戒管理程序》。A.6.5終止或變更后的責(zé)任在終止或變更雇傭后仍然有效的信息安全責(zé)任和職責(zé)應(yīng)被定義、A.7.A.7.6在安全區(qū)域工作A.7.A.7.6在安全區(qū)域工作A.7.A.7.1物理安全范圍執(zhí)行并傳達(dá)給相關(guān)人員和其他相關(guān)方。參見《人力資源控制程序》。A.6.6保密協(xié)議或保密協(xié)議人員和其他相關(guān)相關(guān)方應(yīng)對(duì)保密或保密協(xié)議進(jìn)行識(shí)別、記錄、定期審查，并反映組織對(duì)信息保護(hù)的需求并簽署。參見《人力資源控制程序》。A.6.7遠(yuǎn)程工作當(dāng)人員遠(yuǎn)程工作時(shí)，應(yīng)采取安全措施，以保護(hù)在組織場(chǎng)所外訪問、處理或存儲(chǔ)的信息。參見《人力資源控制程序》A.6.8信息安全事件報(bào)告組織應(yīng)提供機(jī)制，讓人員通過適當(dāng)渠道及時(shí)報(bào)告觀察到或可疑的信息安全事件。參見《信息安全事件控制程序》。A.7物理控制安全邊界應(yīng)被定義并用于保護(hù)包含信息和其他相關(guān)資產(chǎn)的區(qū)域。參見《物理和環(huán)境安全控制程序》和《設(shè)備管理控制程序》。A.7.2物理輸入安全區(qū)域應(yīng)由適當(dāng)?shù)娜肟诳刂蒲b置和接入點(diǎn)進(jìn)行保護(hù)。參見《物理和環(huán)境安全控制程序》和《設(shè)備管理控制程序》。A.7.3確保辦公室、房間和設(shè)施應(yīng)設(shè)計(jì)和實(shí)施辦公室、房間和設(shè)施的物理安全。參見《物理和環(huán)境安全控制程序》和《設(shè)備管理控制程序》。A.7.4物理安全監(jiān)控場(chǎng)所應(yīng)持續(xù)監(jiān)控未經(jīng)授權(quán)的物理訪問。參見《物理和環(huán)境安全控制程序》和《設(shè)備管理控制程序》。A.7.5防止物理和環(huán)境威脅應(yīng)設(shè)計(jì)和實(shí)施防止物理和環(huán)境威脅，如自然災(zāi)害和對(duì)基礎(chǔ)設(shè)施造成的其他有意或無意的物理威脅。參見《物理和環(huán)境安全控制程序》和《設(shè)備管理控制程序》。應(yīng)設(shè)計(jì)并實(shí)施在安全區(qū)域工作的安全措施。參見《物理和環(huán)境安全控制程序》和《設(shè)備管理控制程序》。A.7.7清除桌子和清除屏幕明確紙張和可移動(dòng)存儲(chǔ)介質(zhì)的桌面規(guī)則，明確信息處理設(shè)施的屏幕規(guī)則。參見《介質(zhì)管理控制程序》A.7.8設(shè)備選址和保護(hù)設(shè)備應(yīng)安全放置和保護(hù)。參見《物理和環(huán)境安全控制程序》和《設(shè)備管理控制程序》。A.7.9房屋外資產(chǎn)擔(dān)保場(chǎng)外資產(chǎn)應(yīng)受到保護(hù)。參見《物理和環(huán)境安全控制程序》和《設(shè)備管理控制程序》。A.7.10存儲(chǔ)介質(zhì)存儲(chǔ)介質(zhì)應(yīng)按照組織的分類方案和處理要求，通過其獲取、使用、運(yùn)輸和處置的生命周期進(jìn)行管理。參見《介質(zhì)管理控制程序》A.7.11配套設(shè)施信息處理設(shè)施的故障和其他干擾。參見《物理和環(huán)境安全控制程序》和《設(shè)備管理控制程序》。A.7.12布線安全攜帶電力、數(shù)據(jù)或支持信息服務(wù)的電纜應(yīng)不被攔截、干擾或損壞。參見《物理和環(huán)境安全控制程序》和《設(shè)備管理控制程序》。A.7.13設(shè)備維護(hù)設(shè)備應(yīng)得到正確的維護(hù)，以確保信息的可用性、完整性和機(jī)密性。參見《物理和環(huán)境安全控制程序》和《設(shè)備管理控制程序》。A.7.14安全處置或重復(fù)使用設(shè)備應(yīng)對(duì)含有存儲(chǔ)介質(zhì)的設(shè)備項(xiàng)目進(jìn)行驗(yàn)證，以確保在處置或重復(fù)使用之前，任何敏感數(shù)據(jù)和許可軟件己被移除或安全覆蓋。參見《介質(zhì)管理控制程序》及《軟件管理控制程序》A.8技術(shù)控制A.&1用戶端點(diǎn)設(shè)備在用戶終端設(shè)備上存儲(chǔ)、處理或可訪問的信息應(yīng)受到保護(hù)。詳見《信息和系統(tǒng)操作安全控制程序》及《數(shù)據(jù)安全控制程序》A.&2特權(quán)訪問權(quán)限應(yīng)當(dāng)限制和管理特權(quán)使用權(quán)的分配和使用。詳見《信息系統(tǒng)訪問控制控制程序》A.&3信息訪問限制應(yīng)根據(jù)既定的關(guān)于訪問控制的有關(guān)專題的具體政策，限制對(duì)信息和其他相關(guān)資產(chǎn)的訪問。詳見《信息系統(tǒng)訪問控制控制程序》A.&4訪問源代碼對(duì)源代碼、開發(fā)工具和軟件庫進(jìn)行讀寫管理。詳見《信息系統(tǒng)訪問控制控制程序》A.&5安全身份驗(yàn)證根據(jù)信息訪問限制和訪問控制策略實(shí)施安全認(rèn)證技術(shù)和程序。詳見《信息系統(tǒng)訪問控制程序》A.8.6容量管理應(yīng)根據(jù)當(dāng)前和預(yù)期的容量要求，對(duì)資源的使用情況進(jìn)行監(jiān)測(cè)和調(diào)整。詳見《信息系統(tǒng)應(yīng)用管理程序》詳見《信息系統(tǒng)應(yīng)用管理程序》詳見《信息系統(tǒng)應(yīng)用管理程序》詳見《信息系統(tǒng)應(yīng)用管理程序》詳見《信息系統(tǒng)監(jiān)控控制程序》A.&7防止惡意軟件對(duì)惡意軟件的保護(hù)應(yīng)由適當(dāng)?shù)挠脩粢庾R(shí)來實(shí)施和支持。詳見《病毒防范管理控制程序》A.&8技術(shù)漏洞的管理獲取使用中的信息系統(tǒng)的技術(shù)漏洞信息，評(píng)估組織暴露的情況，并采取適當(dāng)措施。詳見《技術(shù)薄弱點(diǎn)管理控制程序》A.&9配置管理硬件的建立、軟件、服務(wù)和網(wǎng)絡(luò)，包括安全配置、實(shí)施、監(jiān)控和審查。詳見《信息系統(tǒng)應(yīng)用管理程序》A.&10信息刪除不再需要時(shí)，信息系統(tǒng)、設(shè)備或其他信息存儲(chǔ)介質(zhì)中的信息應(yīng)予以刪除。詳見《信息系統(tǒng)監(jiān)控控制程序》詳見《信息系統(tǒng)監(jiān)控控制程序》A.&11 數(shù)據(jù)屏蔽數(shù)據(jù)掩蔽應(yīng)根據(jù)本組織關(guān)于訪問控制的特定主題政策和其他相關(guān)的特定主題政策，以及業(yè)務(wù)要求來使用，并考慮到適用的法規(guī)。詳見《信息系統(tǒng)應(yīng)用管理程序》A.&12防止數(shù)據(jù)泄露對(duì)處理、存儲(chǔ)或傳輸敏感信息的系統(tǒng)、網(wǎng)絡(luò)和任何其他設(shè)備，應(yīng)采取數(shù)據(jù)泄漏預(yù)防措施。詳見《信息系統(tǒng)應(yīng)用管理程序》A.&13信息備份對(duì)模板、軟件和系統(tǒng)的備份副本，應(yīng)按照商定的針對(duì)特定主題的備份策略進(jìn)行維護(hù)和定期測(cè)試。詳見《數(shù)據(jù)安全管理程序》A.&14信息處理設(shè)施的冗余性信息處理設(shè)施應(yīng)具有足夠的冗余度，以滿足可用性要求。詳見《信息安全設(shè)備管理程序》A.&15日志記錄應(yīng)生成、保存、保護(hù)和分析的記錄活動(dòng)、異常、故障和其他相關(guān)事件的日志。詳見《日常運(yùn)行安全管理程序》A.8.16監(jiān)控活動(dòng)應(yīng)監(jiān)測(cè)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的異常行為，并采取適當(dāng)?shù)男袆?dòng)來評(píng)估潛在的信息安全事件。詳見《信息系統(tǒng)監(jiān)控控制程序》A.&17時(shí)鐘同步組織使用的信息處理系統(tǒng)的時(shí)鐘應(yīng)與批準(zhǔn)的時(shí)間源同步。詳見《信息系統(tǒng)監(jiān)控控制程序》A.&18使用有特權(quán)的實(shí)用程序?qū)τ谀軌蚴褂媚軌蚋采w系統(tǒng)和應(yīng)用程序控制的實(shí)用程序，應(yīng)進(jìn)行限制和嚴(yán)格控制。詳見《信息系統(tǒng)監(jiān)控控制程序》A.&19在操作系統(tǒng)上安裝軟件應(yīng)實(shí)施程序和措施，以安全地管理操作系統(tǒng)上的軟件安裝。A.8.20網(wǎng)絡(luò)安全網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備應(yīng)被保護(hù)、管理和控制，以保護(hù)系統(tǒng)和應(yīng)用程序中的信息。參見《通信安全控制程序》。A.&21網(wǎng)絡(luò)服務(wù)的安全性識(shí)別、實(shí)施和監(jiān)控網(wǎng)絡(luò)服務(wù)的安全機(jī)制、服務(wù)水平和服務(wù)需求。參見《通信安全控制程序》。A.&22網(wǎng)絡(luò)隔離信息服務(wù)組、用戶和信息系統(tǒng)應(yīng)在組織的網(wǎng)絡(luò)中進(jìn)行隔離。參見《通信安全控制程序》。A.&23Web過濾應(yīng)管理對(duì)外部網(wǎng)站的訪問，以減少對(duì)惡意內(nèi)容的暴露。參見《通信安全控制程序》。A.&24使用密碼學(xué)應(yīng)定義和實(shí)施有效使用密碼學(xué)的規(guī)則，包括密碼密鑰管理。參見《密碼管理控制程序》。A.&25 安全開發(fā)生命周期參見《信息系統(tǒng)開發(fā)建設(shè)控制程序》。參見《信息系統(tǒng)開發(fā)建設(shè)控制程序》。參見《信息系統(tǒng)開發(fā)建設(shè)控制程序》。參見《信息系統(tǒng)開發(fā)建設(shè)控制程序》。應(yīng)建立并應(yīng)用軟件和系統(tǒng)